パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 3のSSL対応方針、どう思う?」記事へのコメント

  • いやだって安全じゃないでしょ。
    まったく無関係の個人・法人が「○○銀行」のサイトを偽造しているかも、という可能性の意味で。

    ところで、このFirefoxの警告、オプション⇒セキュリティで「偽装サイトとして報告されているサイトを表示するときに警告する」とか、
    その下の警告メッセージで「強度の低い暗号化を使用しているページを表示するとき」のチェック
    (デフォルトで入っている)をなくすと消えたりしないの?
    #過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
    ##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?

    本家の「ユーザビリティ」がどうの、とタレコミ本文のリンク先コメントみると、
    この警告見たくないからFx2.xにダウングレードしたってあるけど、
    それよりはFx3.xでこのオプション無効にする方がまだマシかと思うのだが。
    • Re: (スコア:1, 参考になる)

      by Anonymous Coward
      元ACです。

      >#過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
      >##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?

      探し回っていたら見つけました。元はもじふぉのフォーラム [firehacks.org]で、

      >2. 「オレオレ証明書」を使っているサイトにアクセスします。
      > 例: http://www.pref.saga.lg.jp/citizenH/help/shinseinavi/shinseisho.htm [saga.lg.jp]

      さすが佐賀県!2007年5月19日に投稿されたネタなのにまだオレオレ証明書だ!やってくれるぜ!

      で、やってみましたが、「偽装サイトとして報告されているサイトを表示するときに警告する」「強度の低い暗号化を使用しているページを表示するとき」のチェックを外しても警告がでました
      • コレを「まだオレオレ証明書」というのはどうかと思う。

        LGPKIの証明書はIEには2006/9から入ってる [srad.jp]ので普通に見える。
        むしろfirefoxがオクレテルというべきでは。

        たとえば携帯電話は、古い機種には新興認証局が入っていない [kaisei.org]ので、PCや新機種では正常なサイトでもオレオレになってしまうらしい。

        とっとと(少なくとも日本語版の)公式ビルドに入れればいいと思うけど、
        • ちなみにmicrosoftには独自の認証局を使ってるサイトがあって、もちろんIEには入ってるので普通に見えるが、firefox等ではオレオレに見える。
          それはたぶん違うよ。原因はこれ [takagi-hiromitsu.jp]でしょ。

          これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。 この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。 IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フィールドにあるURLから、検証に必要な中間認証局の証明書を、別途自動でダウンロードして取得する機能があるためだ。 (snip)
          親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...